BİLGİ GÜVENLİĞİ
Bilgi Kavramı İnternet teknolojisinin hızla gelişmesi, hayatın da sayısallaştırılmasını beraberinde getirmiştir. Hayatın her alanındaki üretilen bilgiler sayısal olarak oluşturulmaktadır. Sağlık, eğitim, bankacılık, sigortacılık, hukuk ve daha bir-çok özel, kamu kurum ve kuruluşları ya işlemleri sayısal ortamda yapıyor ya da yapılan işlemleri sayısal ortama aktarıyor. Bu durumda yapılan işlemlerin güvenliğini sorgulamadan edemiyoruz.
Veri ve bilgi kavramları bazen karıştırılabilmektedir. Sayısal ve mantıksal her değer bir veridir. Bilgi ise verinin işlenmiş, anlamlı hale getirilmiş şeklidir.
Bilginin yer aldığı belli başlı ortamlar; Fiziksel ortamlar; Kâğıt, tahta, pano, faks, çöp/atık kâğıt kutuları, dolaplar vb. Elektronik ortamlar; bilgisayarlar, mobil iletişim cihazları, e-posta, USB, CD, Disk, Disket vb. manyetik ortamlar.
Sosyal ortamlar; telefon görüşmeleri, muhabbetler, yemek araları, toplu taşıma araçları vb. sosyal aktiviteler. Tanıtım platformları; internet siteleri, broşürler, reklamlar, sunular, eğitimler, video ya da görsel ortamlar. Bu bilgilerin bir kısmı, kişiye özel, hizmete özel olabilmektedir ve güvenliğinin sağlanması gerekmektedir. Yani ilgilisi olmayan kişilerin eline geçmemelidir.
Güvenlik, bir varlığı çeşitli zararlı etkenlerden korumaktır. Söz konusu bilgi güvenliği olunca korunmak istenen varlık, bilginin kendisidir. Bilgi güvenliği, bilgileri izinsiz erişimlerden ve kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya bilgiye hasar verilmesinden koruma işlemidir.
Bu durumda verilerin hangi nitelikleri korunmalı? Gizlilik Bilgiye, yetkisi olmayan kişi, varlık veya süreçlerin ulaşımının engellenmesidir. Gizlilik hem kalıcı ortamlarda saklı bulunan (disk, teyp kaseti vs) hem de ağ üzerinde bir yerden bir yere gönderilen veriler için söz konusudur. Saldırganlar, yetkisi olmayan birçok veriye çeşitli yollarla erişmeye çalışmaktadır. Şifre dosyalarının çalınması, sosyal mühendislik, bilgisayar başında bir kullanıcının özel bir bilgisini ona fark ettirmeden alma (parolasını girerken gözetleme gibi), ağ trafiği izlenirken veri paketlerinin içindeki bilgilerin okunması, gizliliğin ihlali olarak değerlendirilir.
Anlamının değişeceği şekilde bütünlüğünün bozulmasının Bütünlük Anlamının değişeceği şekilde bütünlüğünün bozulmasının engellenmesidir. Veri paketi bir yerden bir yere giderken göndericiden çıktığı haliyle alıcıya ulaşması sağlanmalıdır. Veri yolunda deformasyona uğramamalıdır ya da saklandığı yerde değişikliğe uğratılmamalıdır.
İstenen bilgiye yetki çerçevesinde istenilen Erişilebilirlik İstenen bilgiye yetki çerçevesinde istenilen zamanda ulaşılmasının sağlanmasıdır. Hizmet sektöründe performans açısından verilere ulaşımda kesinti olmamalıdır. Erişimi, sadece kötü niyetli kişilerin saldırısı değil, yazılım hataları, eğitimsiz personel, ortam şartları (nem, ısı, topraklama eksikliği, elektrik kesintisi vs) gibi faktörler engelleyebilmektedir.
Herhangi bir hasar, kayıp ve hata durumunda anlam bütünlüğünü Kurtarılabilirlik Herhangi bir hasar, kayıp ve hata durumunda anlam bütünlüğünü bozmadan geri getirilebilmesi için gerekli tedbir alınmasıdır.
SKS Kapsamında Bilgi Güvenliği Hangi Bilgiler Gizlidir? Hastaya ve hastalığına ait bilgiler Demografik bilgiler (nüfus bilgileri), Anamnez, Teşhis ve tetkik bilgileri Personele ait bilgiler Kişisel bilgiler (resim, mesaj vs), Şifreler, Bordro bilgileri (maaş, ek ödeme vs)
Birime ait bilgiler Soruşturma dosyaları Satın alma dosyaları Kuruma ait bilgiler Finansal bilgiler Altyapı ve donanım bilgileri
Bilginin güvenliğinin sağlanması iki boyutludur. 1- Bilginin üretildiği ve kullanıldığı ortamda, 2- Taşındığı ve saklandığı ortamda, gerekli güvenlik tedbirleri alınmalıdır.
Üretildiği ve Kullanıldığı Ortamda Güvenlik Tedbirlerinin Alınması İçin; Çalışan personele bilgi güvenliği eğitimi verilmelidir. Bilgi güvenliği kurallarına dikkat edilmesi gerektiği ve bu kuralların sadece iş hayatında değil özel hayatta da önem arz ettiği belirtilmelidir. Güvenlik, aslında bir davranış biçimidir. Bu davranışı kazandırmak gerekir.
Örneğin; insanların parola bilgisini yanındaki kişiye vermesi ona güven duygusu verebilir ancak aynı zamanda karşı tarafa sorumluluğu da beraberinde vermektedir. Olabilecek herhangi bir olumsuzluk durumunda ilk sorumlu şifre paylaşılan kişi olacaktır. Bu yüzden şifreler kişiye hastır ve paylaşılmaması gerekir. Personelin şifre öğrenmeye meraklı olmaması anlatılmalıdır.
Kişisel, kimlik tanımlayıcı dokümanları umuma açık yerde bulundurmamalıyız. Örneğin hasta ile İlgili bir duyuru yazısının hasta barkodu ile yapıştırılması, barkot sahibi kişinin bilgilerinin herkese ilan edilmesini sağlamıştır. HBYS ya da kullanılan yazılım sistemlerinde yetki ve rol grupları oluşturulmalıdır. Herkes kendi yetkisi dâhilinde bölümlere girip kayıt yapabilmeli, yapılan kayıtları görebilmelidir. Örneğin; doktor, hemşire, tıbbi sekreter gibi gruplar oluşturulmalıdır. İç hastalıkları doktorunun kadın doğum bölümü ile ilgili bilgilere ulaşımı engellenmelidir. HBYS kullanan personel ile gizlilik sözleşmesi imzalanmalıdır.
Taşındığı ve saklandığı ortamda güvenlik tedbirlerinin alınması için; Kurumun bilgisayar ağına rast gele girişler engellenmelidir. Dışarıdan gelen bir bilgisayar, ilgili birimin izni ve tanımlamasıyla giriş yapabilmelidir. Görevi, sözleşmesi biten kişi ya da kuruluşların; giriş yetkileri, izinleri kaldırılmalı, şifreleri iptal edilmelidir. Sistem odasına giriş ve çıkışlar kontrollü olmalı ve Kayıt altına alınmalıdır. Hangi kullanıcının hangi saatte giriş yaptığı sistem tarafından kaydedilmesi için gerekli tedbir alınmalıdır.
Dışarıdan ve içeriden gelebilecek tehdit ve saldırılara karşı, hizmet veren sunucular güvenlik duvarının arkasında olmalıdır. Saldırı sadece kurum dışından değil, virüs yüklü içerideki bir bilgisayardan da gelebilir. Bu yüzden içerideki kullanıcılara karşı da güvenlik duvarı oluşturulmalıdır. Sistem odası fiziki şartları Standartlara uygun olarak düzenlenmelidir. Oda düzenli olmalı, amaç dışında malzeme ya da eşya olmamalıdır. Kablolar karışık ve dağınık değil, düzenli, hangi kablonun hangi porta gittiği belirgin bir şekilde olmalıdır.
Ortam ısısını ve nemini takip edecek sensörler bulunmalıdır. Mümkünse bunlar eşik değer aşıldığında belirlenen cep telefonlarına mesaj göndermelidir. Merkezi güç kaynağından bağımsız en az 10 dk kesintisiz elektrik sağlayacak güç kaynağı ve jeneratör sistemi bulunmalıdır. Ortamı 22 derecenin üzerine çıkarmayacak güçte soğutma sistemi bulunmalıdır. Yangın söndürme sistemi, donanıma zarar vermeyecek şekilde, gazlı yangın söndürme sistemi olmalıdır.
Kurumun veri kaybını tolere edebileceği sürede yedek alınmalı ve bu yedekler farklı mekânlarda saklanmalıdır. Kişiye özel, gizli bilgiler veritabanında geri dönüşü olmayacak şekilde kriptolu olarak kaydedilmelidir. Hangi kabinde hangi sunucunun olduğunu gösteren ve bu sunucuların görevlerini, IP adreslerini belirten bir tablo bulunmalıdır.
Sunuculara dışarıdan erişimle ilgili, hangi durumda kimlerin erişebileceği belirlenmeli ve bu erişimler kayıt altına alınmalıdır. Yapılan kullanıcı girişleri, yetki değişiklikleri, zaman bilgisiyle birlikte kaydedilmelidir. Silme ve düzeltme işlemleri yapan kişi, zaman bilgisiyle kaydedilmelidir. Veritabanı şifresi kapalı zarfta, kurum en üst yetkilisine teslim edilmelidir. Değişiklikler aynı şekilde bildirilmelidir.
Sonuç; Bilgi Güvenliği İçin On Altın Kural
Gizli olduğu düşünülen bilgiler mutlaka güvenli ortamlarda tutulmalıdır. İnternet ortamında hiç bir sistemin %100 güvenirliği ve koruması yoktur. Her sistemin kendi içinde mutlaka eksikleri vardır. Bu eksikler işin uzmanı kişiler tarafından değerlendirilip bilgilerin yanlış kişilerin eline geçmesine neden olabilir. Aynı zamanda kullanılan donanımların teknik açıdan bozulmasından dolayı da bilgi kaybına uğranabilir. O yüzden mut-laka gizli olduğu düşünülen bilgiler güvenli ortamlarda tutulmalıdır.
Önemli bilgilerin kaybedilme olasılığına karşılık, o bilgilere harcanılan zaman ve maliyeti de göz önünde bulundurarak belli aralıklarla bilgiler yedeklenmeli ve yedeklenilen alan koruma altına alınmalıdır. Aynı zamanda bilgiler ve yedeği farklı ortamlarda tutulmalıdır. Farklı ortamlarda tutulmasının nedeni, yedekler ve bilgiler aynı ortamda olursa zaten yedek alınmasının bir manası kalmaz hem yedeği hem de önemli bilgilerin başka kişilerin eline geçmesine neden olabilir. Bir diğer alternatif ise internet ortamında depolama alanları kiralayıp bilgilerin yedeklerinin orada depolanmasıdır.
Şifreler korunmalıdır. Şifre başka birinin, kişinin şahsi bilgilerine ulaşmasındaki en büyük engeldir. Bu engel ne kadar sağlam yapılırsa o kadar ulaşılmaz olacaktır. Şifreler mutlaka kolay tahmin edilebilen şifreler olmamalıdır. Örneğin; anne – baba adı, kişinin kendi adı, firma adı, telefon numaraları vb. gibi şifreler kullanılmamalıdır. Şifre mutlaka 8 karakterden uzun olacak şekilde kullanınız. Örnek: tEc1dğ6ş9F (özel karakterler de kullanılabilir ~^# gibi). Aynı zamanda şifreler belirli aralıklarla değiştirilmelidir.
Bilgisayarda mutlaka antivirüs, antispam, anticasus yazılımları kullanılmalıdır. Bilgisayarın güvenlik duvarı kurulu ve her zaman açık olmalı ve onun ayarları kullanıcılar tarafından biliniyor olmalıdır. Açıkları kapamak için kullanılan programların güncel sürümleri ve yamaları yüklenmiş olmalıdır.
Mutlaka orjinal ekipmanlar kullanmaya özen gösterilmelidir. Orjinal yazılımlar ve ekipmanlar kullanılmadığı zaman kopya yazılımlardan doğacak açık ve güncellemelerden faydalanılamaz ve bu tür eksikler geri dönülmesi zor bir sürece girilmesine neden olabilir. Aynı zamanda lisanssız yazılım kullanmak suçtur. Bedava diye internet ortamında bulunan ücretsiz yazılımlar kurulmamalıdır. Kurulan bu ücretsiz yazılımlar sistemde büyük açıklara neden olabilir. Kişisel bilgiler dünyaya açılmamalı, ağ ortamında bulundurulmamalı ve kimseyle paylaşılmamalıdır.
Bilgisayar kullanılmadığı zamanlarda erişimi sınırlandırılmalıdır. Bilgisayar uzun süre kullanılmadığı zaman devreye giren ekran koruyucuya şifre konulmalı, gerekirse ekran koruyucuyu çalıştırmak için masaüstünde kısa yol oluşturulmalıdır. Bilgisayarın açılışına ve uyanması durumlarına da şifre konularak güvenlik artırılmalıdır. Tüm kullanılan şifrelerin bir birleri ile aynı olmamasına dikkat edilmelidir.
İnternet ortamından indirilen ve içeriği belli olmayan dosyalar açılmamalıdır. Tanınmayan kişilerden gelen e-posta ve ekleri açılmamalıdır. Bu e-postalar ve gelen postalara eklenmiş dosyalar virüs içeriyor olabilir. E-posta içeriğindeki bağlantılara tıklanmamalı, adres çubuğuna yapıştırılarak bağlantının posta içeriği ile aynı olup olmadığı mutlaka kontrol edilmelidir. Bilinmeyen sitelere girerken mutlaka tarayıcı ayarları en yüksek koruma seviyesinde tutulmalıdır.
Bilgi internet ortamında kolayca takip edilebilir. Bu nedenle yasalarca ya saklanmış sitelerden uzak durulması gerekir. Tarayıcı güvenliği düşürülmemelidir. Güvenlik düşürüldüğü takdirde girilen sitelerin esiri olunabilir, farkında olmadan onlar adına çalışır hale gelinebilir. Güvensiz sitelere girilmemelidir. Pek çok saldırı bu tür sitelerden gelmektedir. Güvenlik ihlalleri veya şüphelenilen hususlar servis sağlayıcılarına bildirilebilir.
Kurumlar bilgi güvenliği konusunda bilgisini artırmalı, güvenlik açıklarını sürekli takip ederek mutlaka gidermeye çalışmalıdır. Yazıcı tonerlerinde bile bilgi saklanabildiği bilinmeli, hiçbir sistemin %100 güvenilir olmadığı unutulmamalıdır.
Son olarak internet ortamında izlenmenin kolay olduğu unutulmamalı, internet ortamında başkalarının verilerine izinsiz erişim ve verilerine zarar vermenin suç olduğu ve cezai yaptırımı olduğunun farkında olunmalıdır.